Конечно, это не товары. Коммерческие сайты интересны злоумышленникам по другим причинам. Зачем хакеры приходят на такие ресурсы и как защититься от неправомерных действий, расскажем в статье.
Трафик
Посетители интернет-магазина могут быть нужны злоумышленников по двум причинам:
- они заражают компьютеры пользователей вредоносным вирусом, включая их в сеть ботнет;
- хакер перенаправляет посетителей на свой или другой сторонний ресурс с целью его продвижения или в рамках нечестной конкурентной борьбы.
Для решения таких задач используются известные уязвимости CMS и браузеров, и проблему с перехватом трафика можно назвать одной из самых распространенных. Воспользовавшись брешами в защите сайта, мошенники могут:
- подставлять чужие страницы при переходе в интернет-магазин из браузера;
- уводить посетителей при перемещении внутри атакованного сайта;
- размещать рекламу, в том числе, мало отличимую от баннеров и всплывающих окон самого интернет-магазина.
Что делать? От таких часто встречающихся атак защищает базовый список мер по обеспечению безопасности: регулярное обновление CMS и программного обеспечения, использование антивируса для компьютеров и для сайта, ограничение доступа к сайту для временных подрядчиков. Если вредоносный код уже обнаружен, важно не только удалить его, но и усилить защиту: появившись один раз, вирус может вернуться снова, и это необходимо предотвратить.
Данные банковских карт
Хакеры редко пользуются перехваченными данными самостоятельно, чаще всего они собирают их для последующей продажи. Но это не снижает опасность для пользователей – неизвестно, когда и в чьи руки попадет важная информация. А поскольку банки в случае проблем с картами клиентов проверяют предыдущие действия со счетом, интернет-магазин, ненароком «сливший» данные, будет скомпрометирован.
Что делать? К сожалению, часто люди сами, по невнимательности или в спешке, отдают данные своих банковских карт. Но чтобы они не подвергались опасности на вашем сайте, для интернет-магазина стоит сделать следующее:
- Установить SSL-сертификат, обеспечивающий должный уровень защиты.
- Работать в соответствии со стандартами PCI DSS, в частности, не хранить ненужные данные о картах и клиентах.
- Использовать технологию 3D-Secure для проведения оплаты.
- Не устанавливать сомнительные плагины.
- Не забывать о базовых мерах безопасности, регулярно менять пароли, разграничивать доступ сотрудников к сайту.
- Помнить об обеспечении безопасности компьютеров персонала: использование антивирусов, запрет на переходы по сомнительным ссылкам и ссылкам в e-mail.
И еще один важный нюанс для тех, кто использует сторонние платежные системы. Желательно предупреждать пользователей, готовых к покупке, о том, что они попадут на страницу другого сервиса. С одной стороны, это может показаться излишним. Но зато люди смогут самостоятельно убедиться в том, что все идет по плану, а попытка подстановки фишинговой (фальшивой, но очень похожей) страницы будет замечена бдительными покупателями. Зная адрес, который должен появиться в строке браузера, несложно сравнить его с появившимся после перехода к оплате.
Базы данных
Вышеперечисленные меры безопасности с большой долей вероятности помогут избежать общих атак, когда хакерам не важно, с каких сайтов красть информацию. Скорее всего, они уберегут и от тех, кто заражает чужие сайты с целью получения данных о действиях пользователей, представляющих интерес для недобросовестных рекламодателей.
Но существует более серьезная опасность: кража базы клиентов конкретного интернет-магазина или коммерческого сайта. Как правило, такую работу заказывают конкуренты или те, для кого аудитория выбранного ресурса также является целевой. В этом случае возможно развитие различных сценариев, от атаки на сайт до подкупа сотрудников.
Что делать? Исключим человеческий фактор и рассмотрим, какие меры надо предпринять для минимизации риска технического получения доступа к базе данных:
- Обучить сотрудников, работающих с клиентами, правилам безопасности и следить за их выполнением: сменой паролей от панели администратора и электронной почты, запретом на скачивание подозрительных файлов и «засвечивания» данных клиентов.
- Разграничивать доступ и не открывать базы тем, кому они не нужны для выполнения служебных обязанностей.
- Своевременно удалять аккаунты сторонних подрядчиков, которым был предоставлен полный доступ к сайту.
- По возможности не запрашивать и не хранить информацию, не нужную для обработки заказов.
- Обеспечить защиту баз данных с помощью специалистов по безопасности.
Важно помнить, что заполучить чужую базу можно с помощью банального взлома электронной почты, и не пренебрегать элементарными превентивными мерами защиты.
Заказы
Перехват заказов может выполняться как топорно, так и достаточно изящно. Все зависит от целей, с которыми выполняется атака. Таковыми могут быть:
- перехват клиентов;
- шпионаж;
- сбор личных данных.
Способы перехвата различны, и исходя из поставленной задачи, хакеры используют:
- отправку копии уведомления о заказе на сторонний адрес – это может быть реализовано как с помощью простого добавления еще одного e-mail в список получателей, так и скриптом, отправляющим данные выборочно;
- взлом почтового сервера – в этом случае возможна настройка сложного сценария, который трудно обнаружить самостоятельно;
- установку скрипта на сайт – данные отправляются после нажатия на кнопку завершения оформления заказа, используются либо для перехвата, либо для сбора информации;
- взлом почты – опасность хакерской деятельности в том, что владелец e-mail может и не знать об утечке его переписки.
Что делать? Для начала стоит убедиться, что происходит именно перехват. Если пользователи просто наполняют «Корзину» и не завершают оформление заказа, этому может быть прозаическое объяснение, от технического сбоя до потери интереса к покупке. Признаком перехвата может быть отсутствие транзакции после оформления заказа. В таком случае стоит связаться с клиентом и узнать причину. Если его перехватили, важно выяснить, как именно это произошло, и обратиться к специалистам для поиска уязвимости. И, конечно, не забывать о регулярной смене паролей.
В заключение
Защита нужна каждому интернет-магазину, имеющему активных конкурентов или просто тихо работающему для своей аудитории. И всегда лучше не ждать, когда грянет гром, а сразу предпринять необходимые, и не такие уж сложные, меры: обновление CMS, регулярная проверка антивирусом и соблюдение элементарных правил безопасной работы в сети.